Datenschutzverletzungen oder sogenannte Datenpannen sind laut Art 33 der DSGVO innerhalb von 72 Stunden an die zuständige Datenschutzbehörde zu melden. Dieses erfordert in der Regel bereits im Vorfeld eine gute organisatorische Planung und stellt viele bereits während der Betriebszeiten vor Herausforderungen, aber eine neue Meldefrist könnte dieses ändern.
Wochenende
Wenn eine Datenpanne an einem Donnerstagnachmittag oder Freitag auftritt, fällt das Fristende auf den Sonntag bzw. den Montag. Denn bisher wurde das Wochenende bei der Fristberechnung nicht ausgespart. Dies liegt an der einschlägigen EU-Verordnung zur Berechnung von Fristen bei EU-Rechtsakten (VO (EWG, EURATOM) Nr. 1182/71 vom 3. Juni 1971 „zur Festlegung der Regeln für die Fristen, Daten und Termine“; im Folgenden Fristen-VO). In solch einem Fall bleibt also faktisch nur ein Arbeitstag für Verantwortliche und Datenschutzbeauftragte, um den Vorfall aufzuarbeiten und ggf. an die Aufsichtsbehörde zu melden.
Zusätzliche Verfahrensregeln
Mit einem Verordnungsvorschlag der EU-Kommission COM (2023) 348 „zur Festlegung von zusätzlichen Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679“ (im Folgenden DSGVO Verfahrens-VO) wird das Wochenende zukünftig bei der Fristberechnung ausgespart. Dies hat zur Folge, dass eine Datenpanne, die an einem Freitag bekannt wird, noch bis zum darauf folgenden Mittwoch um 23.59 Uhr fristgerecht gemeldet wird. Laut Art. 33 Abs. 1 DSGVO muss natürlich „unverzüglich“ gemeldet werden, aber dies wurde wohl innerhalb der 72-Stunden-Frist noch nicht infrage gestellt.
Kenntniserlangung
Ansatzpunkt für die durchaus begrüßenswerte Änderung ist in Art. 29 Abs. 2 der DSGVO zur Verfahrens-VO zu finden. Wird bislang die 72-Stunden-Frist ab Kenntniserlangung über die Datenschutzverletzung berechnet, beginnt dieses zukünftig dann erst am nächsten Arbeitstag. Denn der Verordnungstext spricht hier nicht einfach vom nächsten Tag, sondern verwendet ferner den Begriff Arbeitstag.
Gesetzesakt
Art. 3 Abs. 2 lit. a Fristen-VO bezieht die Wochenendtage und Feiertage bei der Fristberechnung ein, aber Art. 3 Abs. 3 Fristen-VO erlaubt hiervon eine Ausnahme, wenn ein Gesetzesakt von dieser Regelfristberechnung abweicht und ausdrücklich auf die Berechnung nach Arbeitstagen abstellt. Dadurch, dass Art. 29 Abs. 2 DSGVO Verfahrens-VO genau dies tut, sind die Wochenendtage und auch Feiertage dann vom Fristablauf ausgenommen. Da Art. 2 Abs. 2 Fristen-VO im Gegensatz zur deutschen Fristberechnung nach BGB nicht nur die Sonn- und Feiertage, sondern auch die Samstage von den Arbeitstagen ausnimmt, ist nach dem Freitag der nächste Arbeitstag nicht der Samstag, sondern erst der Montag.
Umsetzung nicht sicher
Der LIBE-Ausschuss des EU-Parlaments hat in seiner Stellungnahme vom 9. November 2023 die Streichung von Art. 29 DSGVO Verfahrens-VO gefordert und es stehen auch noch Lesungen des EU-Parlaments aus. Ob es daher zur erhofften Regelung kommt, bleibt abzuwarten. Für die Praxis führt die neue Fristenregelung jedoch zur Entlastung der Beteiligten und eine solche Anpassung zugunsten der verantwortlichen Unternehmen wäre wahrscheinlich ein positives Signal im Hinblick auf die Umsetzung der DSGVO.
Also lassen Sie sich gut beraten.